数字经济时代个人信息保护的法治规范及机制构建*
2022-11-25刘雪婷
刘雪婷
(邵阳学院 法商学院,湖南 邵阳 422000)
2021年10月18日,中共中央政治局就推动我国数字经济健康发展进行了第三十四次集体学习。习近平总书记提出,要统筹国内国际两个大局、发展安全两件大事,促进数字技术与实体经济深度融合,不断做强、做优、做大我国数字经济。2021年12月12日,国务院印发了关于“十四五”数字经济发展规划的通知,以落实习近平总书记的讲话精神。数字经济时代,各种信息,特别是个人信息已全面数据化,数据已成为社会的核心生产要素、企业的重要生产资源。伴随我国数字经济的高速发展,国家关于数据要素、个人信息等政策制定与顶层设计正逐步完善。2022年4月,《中共中央国务院关于加快建设全国统一大市场的意见》发布,就明确指出要“加快培育数据要素市场”,其中还特别指出,要建立健全数据交易流通等基础制度。在数字经济时代,我国公民的个人信息等数据不再只意味着资产和收益,其使用过程中也伴随着风险和安全义务。在数字经济于国民经济中将占据更重分量这一大背景下,个人信息保护的法治规范及机制构建显得尤为重要。
一、从法律的角度审视数字经济中的个人信息
2021年颁行的《个人信息保护法》第四条第一款定义“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”“电子”一词肯定了个人信息数据的归属和可识别的特性,意味着在数据领域占比极大的个人信息数据受到了《个人信息保护法》和《数据安全法》的双重保护。
数字经济时代,数字技术将个人信息数据化,个人信息往往以电子数据的形式存储并利用,个人信息与数据的关系在数字时代几乎成为一体[1]。而数据的收集、整理、储存、使用等多归属于不同机构和企业,使得各方竞相争夺数据信息的控制和处理权限[2]。在这种繁杂的数据环境中,个人信息数据呈现新的独有属性,需要对其权属进行界定,从独有属性出发思考其保护问题。
(一)个人信息权属的法律界定
对于个人信息的权属界定,众说纷纭。有人格权说[3]、财产权客体说[4],亦有从信息主体出发的“信息自决权”[5]或“个人信息权”[6]、从个人信息数据的数据流通价值出发的“数据财产权”[7]以及兼具“数据财产权”和“信息自决权”[8]等说法。个人信息权益与载有个人信息的数据权益有交叉融合之处,但也区别甚大。譬如,在欧美相关法律中,有的将个人信息与隐私权视为一体;有的则将二者视为一个大部分包含的大交集关系,如《欧盟基本权利宪章》的颁行通常认为是欧盟确立了个人信息受保护的基本原则。我国《民法典》则较好地避免了将个人信息归于民法领域所确定的人格权或是财产权客体的偏颇做法,而是在人格权编的第六章中将隐私权和个人信息保护分开规定,使得个人信息的权益与人格权存在一定联系,但又有别于“隐私权”这一具体人格权。据此可见,个人信息的权利属性与隐私权等具体人格权不同,分属不同的保护体系,但个人信息中属于信息主体人格组成部分的内容,同样受到人格权保护。而个人信息数据作为当今个人信息的主要载体形式,经过不同的技术处理后分属不同数据类型、归属不同数据处理者,很难简单地以财产权或财产权客体来完整界定。
《个人信息保护法》第二条规定“自然人的个人信息受法律保护”继承了《民法典》第一千零三十四条第一款,确定了不论是归属人格权保护的信息主体人格相关信息,还是以各种数据形式具现的有无“价值”的个人信息数据,哪怕是被信息主体所遗忘的信息要素,只要是能“识别特定自然人”的信息,都受到法律保护。基于此,个人信息是自成体系的交集权属,既有人格形式的信息要素,且其中属于个人不欲为人所知晓的私密信息属于个人隐私,也有可被人识别、使用、精准确定和形成信息主体特定数字身份的具有识别价值和商业价值的信息要素,且信息主体对各种形式载体所呈现的个人信息,依然享有其作为信息主体的基本权利,而以上各种信息要素及其相关的处理都属于受该法保护的对象。
(二)数字经济中个人信息的法律属性的特殊性
1.个人信息的法律属性和个人数据及其蕴含的无形财产紧密相连
数字经济时代,个人信息全面数据化,被收集、处理、使用、储存、不断组合,形成完整的数据流通链条。不同类型的数据产生不同的价值,不同的数据处理方式和流通形式产生不同的数据组合,创造出对于不同数据巨头或企业实现其利益追求至关重要的利用价值,崭新的数据市场已然出现。市场中个人信息数据成为一种极具商业价值的资源,为各链条节点主体竞相争夺。新时期的个人信息已成为一种无形资产,呈现出与过往完全不同的资产属性。
已形成的数据流通链条要求信息数据可以自由流通,流通链条节点间能实现信息数据的基本共享,而现实中数据割裂形成了各种大大小小的“数据孤岛”,使链条的运转时常受阻,大大增加了数据利用的成本。这既不符合数字经济对信息数据自由流通的基本要求,排他性的数据处理权限也使得不同数据处理者对同一信息主体、同一组个人信息数据常常不得不从头收集整理,即使处理者之间有共享数据信息的协议约定,往往也存在不同的设限。这一切使个人信息被一再地重复收集、处理、储存,归属不同处理者的数据库,处理者对数据的储存保管规定不同、安全防护技术力量强弱不一,极大增加了个人信息的安全风险,即所谓的“数字时代每个人都在大数据中裸奔”。让数据可以自由流通、合理共享,形成运转畅通的数据链条,既是数字经济发展运转的必然要求和实现个人信息独有的资产属性的诉求,也是信息主体对其个人信息安全性和信息数据自主权利的基本要求,这皆在个人信息的法律保护范围内。
2.个人信息的数字身份由单一静态流变到多样动态
在进入大数据时代之前,个人信息的数据化大多是由传统纸质形式转为数据形式,属于静态到静态;而数字经济时代,信息数据处在流通的链条中,往往以动态形式呈现,这是数字经济时代个人信息形式的又一重要特质。因此,个人信息数据所形成的“数字身份”也由静态数字身份流变为单一静态数字身份与多种多样的动态数字身份的集合体。
早期的个人信息因为个人的身份标识具有专属性、固有性、唯一性的特点,后来国外学者为了将其与作为个人社会镜像的动态身份区别开来,将其称为 “静态意义上的身份”[9]27。静态数字身份即为个人专属且固有的、几乎不会发生改变的可识别信息所组成的个人信息。从我国早期的个人信息保护相关规则内容来看,其与欧美对静态数字身份的看法大体相似,此处不再赘述。个人在社会活动中会形成各种动态的信息,其中许多信息,如行动轨迹、活动倾向、购物意向等都带有对个人的识别属性,这是数据流通链条的信息基础,也是数字经济基石的组成之一。个人的不同动态信息往往形成多个不同的动态数字身份,是个人意欲在不同场合、不同情境展示的不同身份,与其静态数字身份既有联系又有区别,更多是属于个人的一种“真正的身份认同”,即“动态数字身份是指以数字化方式呈现的我的社会镜像。”[9]
数据平台、企业所寻求的数据权限或者数据话语权涉及更多的是动态数据和个人的动态数字身份,而动态数字身份存在多个动态数字身份重叠并存的现实,其形成的法律漏洞和技术瑕疵让强势平台得以超越权限、超范围地违法收集并商业化利用个人信息。《个人信息保护法》第5、6、7条对此有相关的规定。网络安全和信息化委员会办公室也会采取定期曝光和限期整改的方式予以应对。总之,以上情形应纳入个人信息保护的法治规范路径中,以打破数据平台、企业对个人信息数据,特别是对多样化的动态数据的支配性地位,加强其安全保障。
二、数字经济中的个人信息保护面临的法律风险
数字经济时代,行政数据化、产业数据化、社会数据化、个人信息数据化瞬息万变,个人信息面临着更多的、全新的法律风险问题,个人信息保护规范的体系化也面临着困境。
(一)个人信息开放程度的极大提升导致侵权风险激增
国民经济的数据化、网络化已使人的工作、生活、社交发生了根本性的改变。在数据网络,特别是公开区域中,个人的动态数据不断刷新、累积,使个人信息的开放程度极大提升。技术的迅猛发展使得获取这些公开数据信息变得简单快捷,特别是对于沉淀在数据海中看似陈旧繁杂的旧数据信息,个人很难意识到其中涵盖了多少可以精准识别自身的信息,而即使已经意识到了这点,个人也很难将其有效地保护起来或者请求数据处理者进行封存或删除。这大大增加了个人信息被非法获取、泄漏和利用的风险。
在网络飞速发展扩张的“无序时期”,伴随出现的商业经济中的网络灰黑产业对社会和个人产生了严重威胁。各种相关民事、刑事案件和社会事件屡禁不止,各类侵权行为更是不断出现,一个重要因素是个人信息被以数据爬取等种种技术手段非法获取。而在技术等方面,个体的力量显然不足以与这些灰黑产业抗衡,而数据平台企业虽有足够的技术和力量,但其对于数据链条中被他方以各种手段获取的与自身利益无关的信息数据亦“漠不关心”,个体一旦被灰黑产业非法获取了个人信息数据,往往很难完成侵权救济,维护个人信息的自决权。
(二)强势网络平台过度攫取用户数据侵犯个人隐私权并形成排他性垄断
数字经济中,个人信息和商业数据等链条流通自由的法治规范还未完善,频繁的社会交流和商业活动让个人数据信息极易被一些数据巨头于特定行业绝对性地封闭独占,其中,各类APP等强势网络平台尤为突出。这些平台或企业为独占数据带来的利益,扩大自身利用、处理权限,往往设置门槛,拒绝与中小企业、机构共享数据[10]。它们庞大的数据库、繁杂而不停歇的动态数据处理过程、追求利益最大化和极致利用的本能,使其在数据安全保障方面往往不会真正从数据的安全性出发来提供保护技术措施。虽然在各项公开信息、告示中,这些平台或企业往往宣称自身安全保障具有可靠性,但近年来时有发生、屡上热搜的数据丢失、个人隐私泄漏等事件,说明现实情况与其宣称的并不一致。
2019年底全球性新冠肺炎疫情暴发并持续至今,在这一特殊的大环境下,人们希望尽可能少出门的特殊需求大大推动了数字化进程和数字经济的发展速度。个人的各项信息数据被迅速载入和储存在各种数据库、数据池,形成了初步的数据全面覆盖和特定情境下的数据极速流转。这也变相加剧了个人信息数据被攫取和数据巨头、企业的数据权力扩张和排他性的垄断。
在大数据尚未升级到云储存之时,动态数字身份与个人现实身份的交集尚没有现今这么紧密,往往容易被人所忽视,而今天个人的动态数字身份已变得十分重要。被非法获取的个人信息往往囊括了个人的静态数字身份信息和多样的动态数字身份信息等,可以有效、有针对性地识别到特定个人及其各类行为模式等。曾经的各种网络暴力事件,特别是侵犯个人隐私的人肉事件已将此昭示无疑。现有的法律规范对那些个性化的、很难为具体法规条文所调整的一些法律边缘事件显得鞭长莫及。
(三)个人信息保护的“不信任”困境导致建设数字经济的各类成本增大
新冠肺炎疫情暴发以后,国家经济发展都进行了重大调整,各行各业都加快了自身业务数字化的开发和使用推广,不管是政务、医疗、金融,抑或是出行、事务管理等,正在完成涉及个人生活、工作方方面面的基本数字化体系。但在这大趋势中,对个人信息获取和使用的越权越位行为也不断出现,如数次发生的疫情中个人信息严重泄漏和大规模传播事件,给个人信息安全蒙上了一层灰尘,加剧了信息主体、数据处理者、控制者和监管者之间的互不信任,即信息主体很难信任数据控制者和处理者。而控制者、处理者们之间也竞相争夺数据权力,互不信任,而现有的监管者大多持既不信任追逐数据权力、攫取商业利益的数据控制者和处理者,对信息主体能否很好地维护个人信息的自主权益也持不乐观态度。总而言之,数据流通链条各节点的主体处在“排他”而非“共生共赢”状态,形成的“不信任”类似于博弈论中的经典场域之“囚徒困境”。各方对信息数据的可支配地位不平等和不均衡,在数据流通中相互拉扯和抵牾,易造成“零和”局面,一定程度上增大了数字经济建设的交易成本,也抬高了个人信息保护法律适用的实施成本。
三、数字经济时代个人信息保护的法治规范现状和救济途径
“依法治国”早已被确立为我国的治国之策。党的十九届五中全会更是将“法治”提到了更高的位置,而为了实现这一战略目标,在日新月异的数字经济时代,更需要从“规范”上奠基和着力。
(一)我国现行的有关个人信息保护的法治规范
个人信息保护法体系建构的基础是国家在宪法上所负有的保护义务[11]。从具体的法律角度来看,对于个人信息保护,《个人信息保护法》《民法典》《数据安全法》等相关法律已提供了基本的法律依据,从公法和私法等角度为其保护体系构建了基本的法律规范。此外,还包括和个人信息相关的法规条例和地方性立法等。以上规范均可以通过诸如“转介性条款”“引致条文”等立法技术,实现有关个人信息保护的各类各级法律条文的互引相通,以达成规范的体系化。
1.以专门法《个人信息保护法》为基本规范
2021年,我国颁行的《个人信息保护法》是典型的专门法,该法明确了个人信息处理活动过程中的权利和义务,深度介入到网络信息社会的各个领域,对几乎所有数字经济社会活动与行为进行界定、保护与规制,是一部参与调整几乎全部数字信息社会关系的基础性法律。该法对于我国公民的基本人权的保障有着里程碑式的意义,相比西方资本主义法治中所自我宣扬的“民主”“自由”理念,该法更符合我国国情,不仅充分体现了社会主义的优越性,更是对西方势力屡次质疑我国人权问题的一次有力的回击。该法对我国的个人信息处理作了全方位的基本规范及保护,其第一条就开宗明义地点出了立法的宗旨,是“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。该法还确立了个人信息处理的“五大原则”,进一步明确了个人信息处理者的义务,在个人信息数据的处理活动包括技术使用边界的合法性、处理活动的必要性、处理者的义务范围、“告知同意”的规则完备等方面都有了严格且明确的规定,为管理机制的构建提供了可适用的基本法律依据。但仅凭《个人信息保护法》是难以适应数字经济时代下对个人信息的周全保护的。譬如,该法的第29条、第30条在法律上首次专门规定对敏感个人信息处理的告知同意[12]。但其实践效果备受质疑,这主要是由于信息技术和商业模式的发展对“实质性告知同意”产生了障碍[13]。因此,除了“处理好《个人信息保护法》与《民法典》的关系,使不同机制分别发挥各自作用,有利于形成公私法合力的多元治理结构”之外[14],对个人信息的法律保护还需要各种基于技术性规则的公法,需要各种法律救济途径,还需要本文第四部分所阐述的个人信息保护的机制构建来共同规制和保护。
2.以《民法典》为代表的私法规范
《民法典》与《个人信息保护法》中的个人信息方面的私法规范构成普通法与特别法的关系,即后者有明确规定的时候应优先适用,而在其没有规定的时候应适用前者的规范。二者之间的密切关联,需要从体系化的角度与《民法典》作关联解读与适用[15]。《民法典》作为民事领域的基本法典,在第四编中,从规范信息获取、确定信息受保护范围、确立信息主体基本救济权益、规制信息处理者和行政获取信息行为责任等几个方面明确了对个人信息的基本保护。
从《民法典》确立的受保护范围和基本救济权益出发,个人信息保护应当从对人格权法益的保护着手,譬如,确认信息主体的个人信息请求权、个人信息自主权等具体信息权益,从人格权保护角度完善生物识别信息的法律规制,从维护其具体信息权益的角度出发完善司法救济制度[16],从隐私权这一具体人格权和个人信息定位区分着手,应明确信息隐私和个人信息功能定位的具体区别,隐私归隐私权,非隐私归个人信息保护[17]。
《民法典》第一百一十一条确定了个人信息权及义务人对自然人个人信息权所负有义务的规定,第一千零三十九条则确定了政府处理个人信息的基本规范,它们和《个人信息保护法》中相近规定形成了良好的互补效应,可以从《民法典》私权领域基础性法律的视角出发,完善对个人信息主体的损害赔偿制度,规范、平衡和指引政府处理个人信息,以此保护公共领域个人信息的安全[18]。
3.基于技术性规则的公法规范
在数字经济时代,个人信息处理者相对于信息主体而言,居于强势地位,故国家机关应当强化公法规范的调整功能,制定相关技术性规则,以构筑个人信息处理使用的客观价值秩序,持续纠正个人信息处理关系中的权利义务失衡的法律关系。对于数字经济时代中主要以数据形式呈现的大量个人信息,技术的实现和发展与其安全性息息相关。社会数据化进程的阶段性发展往往通过种种数据技术的开发和完善得以实现,技术的中立属性决定了个人信息安全保障不能全然依靠技术完成,其仅是为实现安全保护的必要手段。有专家就提出以数据分类分级来实现数据安全,特别是个人信息数据安全的期望实效[19]。
正因为“将个人信息作为私权客体的权利保护模式,在规范逻辑、制度功能等方面存在局限”[20],故公法规范介入这一私权领域就显得尤为必要。2021年颁行的《数据安全法》是典型的公法,从政府的角度对个人信息的使用和保护的技术性问题进行了专门性规范。该法在第三章确定了对各类型数据进行分类分级保护的基本制度,第四章明确了数据处理者的基本数据安全保护义务,其中第一条明示了“维护国家主权、安全和发展利益”等,都展示了该法较为突出的公法属性。而其以第二十八条针对相关技术进行规范为代表的相关条文,则可视为对个人信息进行技术保障的重要依据。
比较法上大陆法系多采用个人信息单独立法模式,如我国台湾地区、意大利、瑞士、日本、韩国等。以欧盟为代表的《一般数据保护条例》(GeneralDataProtectionRegulation,简称GDPR)和我国的《个人信息保护法》在形式上有诸多相似之处,但二者在法律性质、立法目的等方面存在一些差别。GDPR较我国《个人信息保护法》更为严格,但在规制路径上二者相差不大。我国对信息处理者的义务设定更为宽泛,弹性更大,这实际上是为我国数字经济的未来发展留出空间。从整体看,国外立法多从不同角度采取了一定的技术对个人信息进行保护,但更多是私法意义上的个人隐私信息,而对一般性个人信息或公开个人信息的安全责任,多划归由相关数据处理者、控制者承担或依靠信息主体自身行为进行自我保护,很难依靠国家职能权限完成安全防护,更不会有针对性地进行成本高昂、普惠性的相关个人信息的网络保护技术的开发,这与我国《个人信息保护法》形成了较为鲜明的对比。总之,我国应进一步加强个人信息保护在技术领域的立法研究,以技术实现信息数据的安全防护;或是进一步完善数据安全认证机制,推动新一阶段的信息安全认证技术的开发利用[21]。
(二)个人信息保护的法律救济途径
数字经济时代,个人信息安全事件频繁发生,而“个人信息权利保护的法益基础具有多元性”[22],已成为全社会共同关注、亟需解决的现实问题。在救济程序方面,2021年的《个人信息保护法》的诸多条文完善了接受处理投诉举报、公益诉讼等制度,扩展了个人信息保护国家义务的启动方式与程序,将个人信息保护置于全民监督之下。除以上《个人信息保护法》明确规定的个人信息保护的基本救济途径之外,本文还梳理了实行法中其他法律法规等规范并对其归纳分类。
一是基于“两高”的司法救济途径。从2017年以来的近五年,最高人民法院、最高人民检察院发布6个和“个人信息”相关的司法解释,其频率不可谓不高。譬如,2019年最高人民法院、最高人民检察院发布的《关于办理非法利用信息网络帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,进一步对个人信息犯罪相关罪名的定罪量刑标准和有关法律适用问题作了全面、系统的规定。由此可见,在法律实务界,公检法部门普遍认为,我国应建立、完善一条司法特定领域的个人信息保护路径,以此保障公民个人信息安全。
二是刑法层面的法律救济途径。近年高发的个人信息案件显示,对个人信息的侵害手段在日益升级,而公民个人很难有效防范,侵权救济困难,宜在公共安全的维度下创建打击信息犯罪新机制,有针对性地增强攻坚能力,以确保侵权救济的实现[23];应对侵犯公民个人信息罪进行规制调适,着力构建面向个人信息全生命周期的刑法保护体系[24]。同时,我国刑法相关规定应加大对敏感个人信息特殊保护的力度[25]。
三是公益诉讼层面的法律救济途径。《个人信息保护法》第七十条明确了个人信息的公益诉讼制度,但仅粗疏地确定了三种救济方式,其他阙如。因此,从救济程序角度出发,应建立三个阶段的投诉处理机制,并发挥法律所规定的社会组织在投诉程序和调解程序以及诉调对接中的功能,形成多维并进的程序救济机制[26];还应有条件承认预期侵权制度,肯定未来被侵权的风险,并予以赔偿,以此完成个人信息侵权损害救济[27]。
四是行政法层面的救济途径。有学者提出,应建立个人信息保护的行政执法模式,进一步明确个人信息保护的行政规制路径,以弥补私法诉讼救济路径的缺失[28]。在数字经济时代,公开数据体量异常庞大,获取难度低且技术简单,而其商业应用广泛,容易被针对性地自动收集,造成个人信息权益损害,而信息主体作为个人信息的权利拥有者,在其中处于绝对性弱势,公权力以行政法形式介入并对强势平台进行规制就显得尤为必要。
五是从产业法层面的救济途径。数字经济日渐深入地渗入诸多网络产业中,而各产业均有其相应的法律规范来调整。因此,有必要从评估竞争行为的合法性出发,综合地评判个人信息在各种商业利用中对互联网市场秩序和效率的影响,从司法角度明确其合法边界,以期降低公开信息被非法利用的风险,保护公开数据;从数据市场角度出发,应进一步规制数据竞争中个人信息处理行为,更新相关具体规则,打造数据要素市场化配置机制,形塑良好的数据市场竞争秩序,达成个人信息安全和数据产业有序发展的双赢。就个人信息相关商业行为,特别是竞争行为,目前主要基于《反不正当竞争法》等法律中的专门性规则进行管理规范,以产业化的法律规范和管理制度实现个人信息的安全保障之目的。
六是从综合性保护角度的救济途径。对个人信息应采取公法与私法并重的综合性保护方法[29]。因为,囿于个人信息保护领域所涉面的复杂性,单纯以某个方面法律救济途径难以较为圆满地实现个人信息保护之目的,从多元化、综合性保护的角度进行救济,可有效破局。
四、数字经济中规范个人信息保护的机制构建
《个人信息保护法》第11条明确要求国家建立健全个人信息的保护制度,即“预防和惩治侵害个人信息权益的行为”等。从上文的规范分类和梳理可见,目前针对个人信息的保障方法、手段较多,立足于不同视角、不同层面,形成了一些或基础性或针对性的法治保障路径。对个人信息数据安全性的研究讨论主要集中在技术性和理论上的界定讨论,覆盖不全,相互交集又时有冲突,未形成相对完整、有效运转的法治意义上的机制。因此,国家“应通过制度性保障、组织与程序保障以及侵害防止义务的体系化,营造个人信息保护的制度生态。”[20]正因为个人信息保护领域的涉及面广泛、问题复杂,应当以《个人信息保护法》第五条到第九条规定的“五大原则”(合法、正当、必要与诚信原则,目的原则,公开透明原则,质量原则和责任原则)为基点,再以相关基本法律规定和技术支撑为规范基石,构建起覆盖个人信息数据全链条、运转自如的机制,以减少链条各节点中规则之间的矛盾和抵牾,顺应数字经济时代的趋势要求,达到对个人信息安全保障的根本目的。
(一)建立个人信息数据溯源的双重“安全锁”机制
《个人信息保护法》第五条要求个人信息的处理应“合法、正当、必要与诚信”,同时在第十条再次强调了“不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。针对个人信息数据的非法获取和利用,宜以目前广泛应用的数据溯源技术为核心,移植其原理建立一套个人信息数据溯源机制,从技术引导和条文规范两方面双管齐下,确定个人信息数据的处理—控制界限,形成双重“安全锁”,赋予数据链条以全面保障。同时,这也能防范单纯技术概念延伸到管理规范机制过程中可能出现的技术滥用、管理过度等问题。
一是加强个人数据溯源技术扩展与引导。数据溯源这一技术广泛应用于各种数据模型构建和数据处理场景(譬如区块链技术),是数据交互的一项重要手段,对数据要素流通至关重要。但对于这一重要的大数据方法,目前的研究主要集中在其技术开发利用方面,未进一步扩展,制度规范则更是阙如。因此,在加强相关隐私安全防护技术开发利用的基础上,相关部门可以通过专门性立法等手段进一步完善相关法律规范,加强对数据传播过程中相关安全防护技术开发利用的引导,使技术这一中立手段真正成为信息数据的核心“安全锁”,保证数字经济中个人信息数据的安全。
随着2021年《数据安全法》的颁布实施,相应的配套法律规范正在加紧修订中,利用这一契机,宜在现行法律框架上制订、完善具有实际指导意义的技术性规范类规则,如出台与《数据安全法》相配套的个人信息数据处理具体规范、行业管理条例;修订已不能适应现实情况的技术标准规范、细则等;引导技术开发利用“不越界”,实现技术的有序发展,形成信息保护的“合法、正当、必要”,打造好信息保护“安全锁”的规则外壳。此外,在现有技术开发利用的框架基础上,宜进一步研究技术的应用途径和融合可能。如与数据要素市场相结合的技术研发,开发个人信息经济行为的区块链技术等,改变技术研发从基础实践到理论形成的旧局,拓展技术的可能性新局,将“利益需求召唤技术”变为“安全需求呼唤技术”,推动立足未来、具备前瞻性的数据溯源技术发展,加速数字经济进程,以技术的“真实”实现信息保护的“诚信”,实现技术理论层面到实践层面的前瞻式“安全锁”的核心功能。
二是做好数据溯源的延伸和拓展。数据溯源是以技术手段实现回溯数据动态过程直至其可追溯的数据源头,强调根据追踪路径重现数据的历史状态和演变过程,再现数据历史档案。其技术实现主要通过数据模型的建立来进行数据追踪,沿数据链条往上游提取并整理出一条完整的数据处理流程。此概念的内核,即数据模型、追踪路径、数据源头。数据模型是数据溯源的完成结果,可以直观显示完整的数据处理流程;追踪路径是数据动态过程的呈现,实现节点全串联图解;而数据源头是其初始基点,即回溯的最上游。从中不难发现,这一概念较为切合目前数据流通链条的管理制度。将这一技术概念移植到法治规范形成和管理机制的构建中,可以有效解决数据流通快、全链条节点繁多而各节点数据处理者之间各行其是、全链条监管困难的问题。
当下,对数据流通链条的管理更多依靠制定相应规则,以各种基础性规范、禁止性规定、实践性细则和行业性标准的交叉制约来实现基本的规范化管理,配合现行的动态监管审查,在一定程度上阻断了一些垄断性数据支配和滥用行为。但各种规则制定的时间不一、效力级别不同、行使主体往往分属不同机构,且规制对象和范围亦不同,形成的交叉性管理机制网络很难有效覆盖全链条和全领域,运行追溯往往阻碍重重。因此,相关部门应立足于对个人信息数据“产生—交互—储存—删除”这一处理流通过程的全面规范管理的要求和数据流通无阻的需要,在源头、过程各节点、结果等方面,事先建立起相应的“个人数据档案”记录规则,明确相关责任后果;同时整合、完善现行的个人数据处理规范要求,将记录规则与处理规范细则等相结合,形成覆盖数据处理动态过程的统一大规则、大机制,既响应了《个人信息保护法》要求的义务,也回应了实践中管理与处理之间追溯困难衔接不畅的实际问题,以此构建一个完整的法制管理数据溯源的运作机制,实现管理从结果向上游源头的追溯无碍。
(二)完善个人信息保护的“防火墙”机制
《个人信息保护法》第八、九条强调了个人信息处理的“公开、透明”及质量保证,体现了信息主体对信息处理的信任要求。针对个人信息数据的“产生—搜集—储存—删除”链条,可以借鉴欧美数据信托模式,完善我国个人信息数据的微观运作机制的“防火墙”。
一是可以借鉴西方的个人信息数据信托模式。近年来,欧美针对个人信息数据监管的“信任红字”困境,提出了数据信托这一模式。这一新模式虽产生于欧美的社会契约文化土壤,但作为新生事物目前在技术和法律层面都并不完善,但仍有引入相关概念以完善我国个人信息数据法制管理体系的重要价值。数据信托基于传统信托概念的由“委托人”基于信任和契约将“资产”交给“受托人”管理这一内涵而来,数据的价值及其资产属性被认可和托管双方之间的基本信任是达成数据信托的两个前提。数据与传统法律意义上的“资产”最大的不同是其无形特质,且无法像传统资产一样实现在物权意义上为主体所“占有”。基于此,安全信任是个人信息法制管理体系必须解决的问题。在我国《个人信息保护法》明确采纳“义务设定(主要是第五章)”+“行政监管(主要是第六章)”+“民事责任(主要是第七章)”。这是数据信托模式的规范依据。数据信托的优势在于为信托人(数据处理者)拟制“信义义务”[30]。
我国目前对个人信息数据的管理模式主要为:由政府主导的由上而下监督管理和数据处理者在其处理范围内的自我监管双线模式。在这两类模式中,信息主体几乎没有实质可行的自主权利。数据交由控制者或处理者这一举动并不真正受信息主体自主决定,对其完成被授权处理后数据的去向,主体更加无从知晓和追踪。目前的法治监管体系仍不完善,完全依赖政府监管来保障信息数据处理的合理合规并不现实。同时,个体对个人的信息和数据保护力不从心,基本处于被支配地位,主要依赖于数据监管部门自上而下的各种监管审查,数据控制者对数据占据、使用等处于绝对支配地位。因此,借鉴数据信托模式设置第三方法律实体,以“中立”“可信”的地位加入监管体系去填补监管漏洞,形成节点各方的信任制衡,不失为一个可行方案。
二是建立静态与动态相结合的个人信息数据保护的“防火墙”。个人信息涉及社会方方面面,很难由一个大数据中心实现完全监管。我国的工业互联网大数据中心正在全力建设中,不久的未来必然实现全社会数据体系的基础性升级。设立“数据受托者”这一具有信任属性的法律实体,借鉴英美法系,特别是英国的数据信托模型以完善适合我国国情的数据托管规则,在现有数据体系外打造一套信托节点网络作为其“外骨骼”,即计算机系统安全保障的“防火墙”,是保障数据流通的安全性基础。
引入数据信托这一法律实体打造科学合理的个人信息数据法制管理体系,以数据受托者作为数据监管体系中的节点形成交织的监管网络,与数据控制者、处理者平行存在。这一信托网络对上可与国家大数据中心、国家监管机构相联结,完成监管蓝图的铺陈,保障监管体系运转效率;对下可与信息主体交相互通,实现“信任式数据授权”,强化信息主体对个人信息数据的自主权利。同时,信托网络与已完成的政府静态信息数据网络和数据库联合,形成个人信息静态数据领域和动态数据领域的全覆盖,打造出完整的安全“防火墙”机制。
(三)筑牢个人信息“安全屏障”机制
个人信息侵权是近年个人信息领域讨论的热点,也是立法完善的一个重点。《民法典》《数据安全法》和《个人信息保护法》等规范所初步确立的侵权救济途径,给予了个人信息保护的公法与私法双重覆盖的基本法律依据。但目前未明确构建具体可行的实施细则的机制,在实践中容易形成规则“后门”。因此,筑牢个人信息“安全屏障”机制就成为了必由之路。
一方面,通过规范权力边界破解数据权力的垄断。数据权力是大数据兴起后基于数据价值而衍生的新的社会权利的形式之一。在社会数据化进程中,技术的重要性使话语权逐渐转向专业领域,掌握关键技术力量、坐拥海量信息数据的数据巨头、企业掌握真正的数据使用和处置的权力,技术与资本的结合使数据控制者和处理者们攫取了过多权力,在数据流通链条中占据绝对支配的垄断地位,信息主体的信息自主权益逐步被分化。
数据权力失衡是个人信息饱受侵害的根本原因。个人信息保护的基本法律体系构建后,相应权利规定本应改变数据主体在数据权益维护方面的不利地位,事实却并非如此。从相关案件、事件中可见,当事人提起诉讼情况稀少且胜诉率极低,数据主体权益保护并未随立法的快速推进达到预期效果[30],而政府力量主导的数据治理在整体上有效推进的同时,细处仍见效甚微,两条路径皆有其局限性。相关法律虽确定了信息主体享有信息数据的基本权益,却未明确个人信息自主权,需要进一步确权。唯有明确相关数据的权益归属,确认信息主体享有个人信息自主权这一决定性权益,才能真正实现《民法典》第一千零三十七条和《个人信息保护法》第十三条到第二十四条所规定的同意权、知情权、撤销权三大基本权益,改变信息主体的被支配地位。
确权同时,相关部门应进一步确认数据控制者、数据处理者、数据受托者和数据监管者各方的权力(利)边界,以防止各方对权利模糊边界的责任推诿和数据权力的滥用,打破其绝对支配地位。与此同时,从法治规范上来看,还要注意避免规范竞合和法律漏洞等“法律不圆满”现象[31]。如此多管齐下,将安全保护的“篱笆”扎牢、筑实,才可能真正达到个人信息权益的救济实现。数据确权、规范权力(利)边界可以确定个人信息损害事实、明确责任划分,实现个人信息损害的司法救济权,是为骨骼覆上筋脉的第一步。第二步则是完善政府监管规则、建立个人信息的数据监管体系,健全政府监管这条从上而下的基本规范路径,为骨骼丰满血肉;而数据溯源作为第三步,即“安全锁”,可以震慑数据使用的相关方,防止其控制、处理个人信息的行为肆无忌惮地越权过界。
另一方面,通过规范和机制的全面覆盖来筑牢个人信息数据链条的“安全屏障”。针对现行通用的行业相关技术行为,如数据网络抓取等,可进一步制订并完善相对应的规则细则,保证个人信息数据安全自由流通以实现个人信息主体权利的平衡。以健全的侵权救济机制作为“屏障”为个人信息保护托底;以数据溯源机制这一利器为个人信息保护挂上双重“安全锁”;以联结真正有震慑力的数据监管体系为“防火墙”,从而构筑全面覆盖数据流通链条,既能保证数字经济的个人信息数据自由流通和数据共享要求的实现,又能真实有效保障个人信息数据安全。一言以蔽之,在数字经济时代,我国应从多层次、多领域、多阶段为个人信息保护提供综合性的法治规范,并通过“转介性条款”“引致条文”等立法技术,达成有关个人信息保护的法治规范体系和具体制度体系的互通互联,再通过立法、司法和执法等实践以实现对其协调、保护和利用之目的。
致谢:本文写作过程中得到了湖南大学法学院郭哲教授悉心指导,在此谨致谢忱!
